5. Internal Control System und Risk Management System
Der Deutsche Corporate Governance Kodex (DCGK) sieht Angaben zum internen Kontroll- und Risikomanagementsystem vor. Diese gehen über die gesetzlichen Anforderungen an den Lagebericht hinaus und sind von der inhaltlichen Prüfung des Lageberichts durch den Abschlussprüfer ausgenommen („lageberichtsfremde Angaben“). Sie werden in Kapitel 5. „Internal Control System und Risk Management System“ thematisch den wesentlichen Elementen des internen Kontroll- und Risikomanagementsystems zugeordnet und sind von den inhaltlich zu prüfenden Angaben durch separate Absätze abgegrenzt und entsprechend als „ungeprüft“ gekennzeichnet.
Internes Kontrollsystem (ungeprüft)
Das interne Kontrollsystem (IKS) der United Internet AG umfasst die gesamte Organisation und dient der Erhaltung der Funktionsfähigkeit und Wirtschaftlichkeit von Geschäftsprozessen, der Zuverlässigkeit von betrieblichen Informationen, der Vermögenssicherung und der Regeleinhaltung. In diesem Zusammenhang beinhalten die durchgeführten Kontrollen die Einhaltung der Soll-Prozesse, das „Vier-Augen-Prinzip“ und die Funktionstrennung. Die Kontrollen werden auf Basis einheitlicher Kategorisierungen je Prozess definiert und teilweise zentral sowie dezentral im gesamten Konzern ausgeführt. In definierten Prozessen, die die Verantwortlichen der Fachbereiche und auch Prozessexperten einbeziehen, wird sichergestellt, dass den Prozess- und Organisationsrisiken präventiv begegnet wird. Gemeinschaftlich und im Zusammenspiel mit dem Risikomanagement beurteilen alle Einheiten des Konzerns das Vorliegen von Organisations- und Prozessrisiken und schätzen ein, ob diese Auswirkungen auf das IKS haben können. Die Verbesserung des IKS, auch unter Einbeziehung von Experten, findet regelmäßig statt. Die Überwachung basiert auf den drei Säulen Risikomanagement, Konzernrevision und externe Prüfer. Die Konzernrevision bewertet und verbessert die Governance-Prozesse und das Risikomanagement und beurteilt darüber hinaus die Angemessenheit und Effektivität des IKS durch Prüfungen die regelmäßig in Stichproben durchgeführt werden.
Rechnungslegungsbezogenes Internal Control System und Risk Management System
Gemäß § 289 Abs. 4 und § 315 Abs. 4 HGB ist die United Internet AG verpflichtet, im Lagebericht die wesentlichen Merkmale ihres rechnungslegungsbezogenen Internal Control System und Risk Management System zu beschreiben.
Die United Internet AG betrachtet das Risikomanagement als Teil des internen Kontrollsystems (IKS). Dabei wird das IKS als fortlaufender Prozess verstanden, der Organisations-, Kontroll- und Überwachungsstrukturen umfasst, um die Einhaltung der gesetzlichen und unternehmerischen Vorgaben jederzeit zu gewährleisten.
Der Vorstand der United Internet AG ist verantwortlich für den Umfang und die Ausgestaltung des IKS und berücksichtigt hierbei die unternehmensspezifischen Anforderungen. Die Überwachung der Wirksamkeit des IKS gehört zu den Aufgaben des Aufsichtsrates der United Internet AG, der sich vom Vorstand regelmäßig über den Zustand des IKS und die Ergebnisse des internen Revisionssystems berichten lässt. Die Abteilung Corporate Audit (Interne Revision) überprüft unabhängig die Angemessenheit, Wirksamkeit und Funktionsfähigkeit des IKS im United Internet Konzern und verfügt zur Wahrnehmung ihrer Aufgaben über umfassende Informations-, Prüf- und Eintrittsrechte. Ihre Prüfungshandlungen basieren auf einem risikoorientierten Prüfungsplan, der regelmäßig auch Prüfungen bei Tochtergesellschaften vorsieht. Darüber hinaus prüft die Abteilung Corporate Audit grundsätzlich die Ordnungsmäßigkeit wesentlicher Anlage- und Vorratsinventuren. Der Abschlussprüfer prüft darüber hinaus die für die Finanzberichterstattung relevanten Teile des IKS im Rahmen seines risikoorientierten Prüfungsansatzes auf Wirksamkeit.
Das rechnungslegungsbezogene IKS umfasst Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen Gesetze und Normen und wird kontinuierlich weiterentwickelt. Bei der Aufstellung des Konzernabschlusses dient das IKS insbesondere dazu, die Anwendung der International Financial Reporting Standards (IFRS), wie sie in der Europäischen Union anzuwenden sind, und die Anwendung der nach § 315e HGB ergänzend anzuwendenden handelsrechtlichen Vorschriften sicherzustellen. Das IKS trägt bei der Aufstellung des Jahresabschlusses und des Lageberichts zusätzlich dazu bei, dass die handelsrechtlichen Vorschriften eingehalten werden.
Bei jedem IKS muss grundsätzlich berücksichtigt werden, dass es, unabhängig von seiner Ausgestaltung, keine absolute Sicherheit dafür bieten kann, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder aufgedeckt werden. Ursache dafür könnten bspw. fehlerhafte Ermessensentscheidungen, unzureichende Kontrollen oder kriminelle Handlungen sein.
Die folgenden Aussagen beziehen sich nur auf die im Konzernabschluss der United Internet AG vollkonsolidierten Tochterunternehmen, bei denen die United Internet AG mittelbar oder unmittelbar über die Möglichkeit verfügt, deren Finanz- und Geldpolitik zu bestimmen, um aus der Tätigkeit dieser Unternehmen Nutzen zu ziehen.
Die Aufgabe des Risikomanagements der United Internet AG ist unter anderem die Festlegung von Maßnahmen, um Risiken zu erkennen, zu bewerten, auf ein vertretbares Maß abzumildern und um die erkannten Risiken zu überwachen. Ein Risikomanagement verlangt organisiertes Handeln, um mit Unsicherheit und Bedrohung angemessen umgehen zu können und hält Mitarbeiter dazu an, Vorschriften und Instrumente einzusetzen, um die Einhaltung der Grundsätze für das Risikomanagement zu gewährleisten. Es umfasst neben dem operativen Risikomanagement auch die systematische Risikofrüherkennung, -steuerung und -überwachung. Das rechnungslegungsbezogene Risikomanagement ist dabei auf das Risiko einer Falschaussage in der Buchführung sowie in der externen Berichterstattung ausgerichtet.
Spezifische rechnungslegungsbezogene Risiken können z. B. aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte auftreten. Weiterhin sind Geschäftsvorfälle, die nicht routinemäßig verarbeitet werden, mit einem latenten Risiko behaftet. Einem begrenzten Personenkreis sind notwendigerweise Ermessensspielräume bei Ansatz und Bewertung von Vermögensgegenständen und Schulden eingeräumt, woraus weitere rechnungslegungsbezogene Risiken resultieren können.
Das rechnungslegungsbezogene IKS umfasst anhand von Risikoaspekten definierte interne Kontrollen der für die Rechnungslegung relevanten Prozesse sowie der Prozesse, die die IT-Systeme unterstützen. Hierbei sind die IT-Sicherheit, das Veränderungsmanagement und die operativen IT-Vorgänge von besonderer Bedeutung. Dabei werden organisatorische, präventive und aufdeckende Kontrollen angewendet, die sowohl IT-gestützt als auch manuell erfolgen können. Für die Wirksamkeit und Effizienz des rechnungslegungsbezogenen IKS ist für die United Internet Gruppe die hohe Qualifikation der Mitarbeitenden, deren regelmäßige Schulung, das „Vier-Augen-Prinzip“ und die Funktionstrennung von Verwaltungs-, Ausführungs- und Genehmigungsprozessen unverzichtbar. Die Steuerung der Prozesse zur Rechnungslegung erfolgt durch den Bereich Konzernrechnungslegung und weitere zuständige Rechnungslegungsabteilungen. Gesetze, Rechnungslegungsstandards und andere Verlautbarungen werden fortlaufend bezüglich der Relevanz und Auswirkungen auf die Rechnungslegung analysiert. In der Bilanzierungsrichtlinie des Konzerns werden relevante Anforderungen festgehalten, kommuniziert und bilden die Grundlage für den Abschlusserstellungsprozess. Zusätzlich unterstützen ergänzende Verfahrensanweisungen wie z. B. die Intercompany-Richtlinie, standardisierte Meldeformate, IT-Systeme sowie IT-unterstützte Reporting- und Konsolidierungsprozesse den Prozess der einheitlichen und ordnungsgemäßen Konzernrechnungslegung. Der Bereich Konzernrechnungslegung stellt sicher, dass diese Anforderungen konzernweit einheitlich eingehalten werden. Die Konzerngesellschaften sind für die Einhaltung des ordnungsgemäßen und zeitgerechten Ablaufs ihrer rechnungslegungsbezogenen Prozesse und Systeme verantwortlich und werden dabei von den Rechnungslegungsabteilungen unterstützt.
Bei festgestellten wesentlichen Kontrollschwächen oder Verbesserungsmöglichkeiten werden diese bewertet und mit den verantwortlichen Personen Gegenmaßnahmen ausgearbeitet, um die Wirksamkeit des IKS weiter zu verbessern. Die Umsetzung der Maßnahmen wird durch die Abteilung Corporate Audit überwacht und kann Gegenstand von Folgeprüfungen sein. Zur Sicherstellung der hohen Qualität des rechnungslegungsbezogenen IKS ist Corporate Audit über alle Stufen hinweg eng mit einbezogen.
Wirksamkeitsaussage (ungeprüft)
Aus der regelmäßigen Befassung mit dem Internal Control System und Risk Management System sind dem Vorstand bis zum Zeitpunkt der Aufstellung des zusammengefassten Lageberichts keine Umstände bekannt, welche gegen die Angemessenheit und Wirksamkeit dieser Systeme sprechen bzw. diese in Frage stellen würden.